[Лайфхак №2] Как не отдать свои деньги мошенникам

Дмитрий Максимов

@Alexander Надо попробовать!

Евгений

Всем привет

Почему логин-пароль считается лучше, чем по смс (как я понимаю, сюда же относится вход по пин-коду/Face ID и его аналоги).

Симку можно подделать и получить доступ к интернет-банку, используя СМС-пароль.

Чем мобильное приложение опаснее компьютера?

Если кто-то завладеет телефоном, он сможет легко зайти в моб. приложение. Если у вас FaceID, это почти полностью снижает риски. Но часто люди входят по пин-коду из цифр, который в большинстве случаев легко подобрать, зная дату рождения, номер мобильного - самые часто встречаемые пин-коды (1111, 1122 и т.п.; дата рождения с вариантами день/месяц или месяц/год; последние 4 цифры мобильного и так далее)

Настоящие звонки из банков с просьбой подтвердить операцию тоже бывают.

Да, я так и написал В Вашем случае подруга открыла вклад - инициировала обращение. Но если Вы ничего не делали, кроме покупок с карты - банк не позвонит и не пришлет СМС. Если даже банк заблокирует карту из-за подозрительной покупки, никто не позвонит. Сам попадал в такую ситуацию, когда случайно узнал, что моя карта заблокирована

Мошенники, которые звонят мне, обычно представляются Сбербанком.

Мошенник не знает, в каком банке у Вас есть счета. Но он точно знает, что в России более 80% рынка - у Сбербанка. Больше шансов угадать.

сотрудники банков всегда легко соглашаются на то, чтобы клиент сам перезвонил в банк

Мошенники сейчас делают то же самое! Мне известно много таких случаев. Называют якобы номер банка и путь в голосовом меню. Но номер оказывается мошенника, его же. Не перезванивайте! Идите в банк, как бы ни хотелось!

Когда есть время, можно потроллить мошенников

Как я писал выше, не надо вступать с ними в диалог даже ради "развлечения". Если вы попадете на настоящего спеца, то будет не до смеха. Лично знаю, когда мошеннику удавалось узнать в таком диалоге очень ценную информацию: второй номер телефона, дату рождения, профиль в соц.сетях - эту информацию люди передавали мошеннику в, как им казалось, "веселом" разговоре, сами того не осознавая.

Alexander

Пользователь @Евгений написал в [Лайфхак №2] Как не отдать свои деньги мошенникам:

Но номер оказывается мошенника, его же. Не перезванивайте!

Перезванивать надо СТРОГО по номеру банка.

Евгений

@Alexander Верно! Номер банка написан на обороте карты. Не нужно идти по голосовому меню, как вам ранее указал сотрудник. Он тоже может оказаться мошенником И даже продиктованный им добавочный номер может оказаться переадресацией на номер мошенника.
Поэтому только так: Номер банка с карты (или с сайта) - на оператора, и далее объяснить ему, что произошло. Оператор переведет вас куда нужно.

Сергей из Москвы

Пользователь @Евгений написал в [Лайфхак №2] Как не отдать свои деньги мошенникам:

Вход по логин-паролю безопаснее, чем по СМС

Я бы все таки написал, что безопаснее логин+пароль+СМС, так как подсадив трояна на компьютер или телефон, мошенники могут легко узнать логин и пароль. Так же по этой причине я почти не пользуюсь мобильными приложениями, а все банковские операции делаю на ПК. Даже если ПК будет заражен, то мошенник не получит доступ к СМС, а если заражен смартфон, тогда уже у мошенников будет полный доступ.

Денис Макаров

Пользователь @Сергей-из-Москвы написал в [Лайфхак №2] Как не отдать свои деньги мошенникам:

Даже если ПК будет заражен, то мошенник не получит доступ к СМС, а если заражен смартфон, тогда уже у мошенников будет полный доступ.

Если на телефоне нет рута/джейлбрейка, то "зараженный" смартфон это в 99% случаев юзер сам поставил какую-то сомнительную прогу и сам же дал ей разрешение на доступ к смскам.

Дмитрий Максимов

@Денис-Макаров По умолчанию на айфонах что-то стоит из антивирусных программ, а то не могу найти?

Сергей из Москвы

@Дмитрий-Максимов По умолчанию точно нет, да он там особо и не нужен. IOS это закрытая система, джейлбрека на новые модели нет. Единственное это, как отметил Денис Макаров, когда сам юзер даст доступ мошенникам к телефону. Например, звонят якобы из банка и говорят, что на вашем смартфоне обнаружен вирус, который пытается сам снять деньги с вашего счета. Но вы не переживайте, мы его вовремя обнаружили и даже можем бесплатно вылечить ваш смартфон, вам нужно всего лишь установить бесплатную программу с Google Play (или с Apple Store) и дают ссылку на вполне официальную программу типа Teamviewer. Так как программа официальная и вполне нормальная, то никакого подвоха юзер обычно не чувствует. Но как только он передаст логин и пароль от программы мошенникам, то у тех сразу будет полный контроль над телефоном жертвы. Причем позвонить могут не только из "банка", но и, например, от якобы сотового оператора или других служб, вариаций может быть очень много.

Дмитрий Максимов

@Сергей-из-Москвы Всё понял, большое спасибо за ответ!

Евгений

Пользователь @Сергей-из-Москвы написал в [Лайфхак №2] Как не отдать свои деньги мошенникам:

подсадив трояна на компьютер или телефон, мошенники могут легко узнать логин и пароль

Всё верно, Сергей. Это уже правила безопасности при работе на ПК - нельзя хранить пароли и логины в открытом виде. Браузеры сейчас шифруют пароли, без доступа к учетным данным их не расшифровать.
На домашнем ПК в наши дни тоже обязательно нужно иметь антивирус (подойдет даже встроенный бесплатный Windows Defender) и сложный пароль для входа. А также должны быть отключены все другие учетные записи, которыми вы не пользуетесь.

Евгений

Многие думают, что использовать интернет сайт банка на домашнем ПК/ноутбуке безопаснее, чем мобильное приложение. Это ошибочное мнение.
При должном отношении к телефону и ПК/ноутбуку оба варианта одинаково безопасны для использования. При халатном отношении - оба варианта одинаково опасны.
Основное заблуждение заключается в том, что для входа в интернет-банк нужно СМС. И если взломают ПК/ноут, то без телефона доступа к СМС не будет.

• Во-первых, злоумышленники в подавляющем большинстве случаев используют социальную инженерию и им вообще не нужен доступ к вашим СМС. Вы сами передадите коды из СМС, по мнению злоумышленников.
• Во-вторых, мы думаем, что наш ПК/ноут "домашний" и поэтому уделяем мало внимания безопасности таких устройств. ПК/ноут взломать гораздо легче, чем современные смартфоны. Я знаю мало людей, которые ставят сложные пароли на вход в компьютер или удаляют гостевые учетные записи. И только лишь единицы использую шифрование жестких дисков. При этом на смартфонах шифрование используется изначально "по умолчанию".
• В-третьих, те люди, которые воруют смартфоны, делают это для перепродажи и разбора на запчасти. В таких случаях стараются максимально быстро избавиться от сим-карты. Если же телефон крадут с целью завладеть мобильным банком, то, поверьте, это целенаправленное действие, и злоумышленнику проще будет "выудить" из вас нужную информацию задолго до завладения вашим устройством.

Прошу вас задавать вопросы, критиковать, плюсовать. Постараемся вместе в этом вопросе разобраться и оформить небольшой пост.

Сергей из Москвы

@евгений

1. Если диктовать СМС всем подряд, тогда, действительно, без разницы, чем пользоваться, интернет-банком или мобильным приложением, деньги все равно уведут. Но, надеюсь, это к присутствующим не относится.

2. Возможно, что ноут заразить проще, чем смартфон, хотя это тоже спорное утверждение. Но, спрашивается, зачем это мошенникам? Даже если они узнают все логины и пароли от интернет банков, то без кода из СМС они все равно ничего не смогут сделать. Придется все равно, или еще дополнительно заражать смартфон, или снова прибегать к социальной инженерии. Поэтому для мошенников это бессмысленная трата времени.
   А вот один раз заразив смартфон они уже получат доступ ко всем данным, включая PUSH и СМС.

3. Если кто-то сознательно ворует телефоны на разбор или продажу, то что мешает им продавать симки "заинтересованным" людям? Более того, я даже уверен, что есть такие "специалисты", которые специально пасут смартфоны с установленными банковскими приложениями, подсматривают пин-коды, а потом воруют эти смартфоны. Для них это проще и безопаснее, чем угнать автомобиль, а выхлоп может быть еще больше, так как почти в любом банковском приложении можно взять кредит онлайн и сразу же его обналичить. Суммы могут исчисляться миллионами.

Евгений

@сергей-из-москвы, есть три основных способа кражи денег "онлайн":

1. Пресловутая социальная инженерия и ее многочисленные вариации. Настоящий специалист выудит всю необходимую информацию за 3-5 дней и получит полный доступ к счетам. Их многочисленные последователи (отнюдь не спецы) - "финансовый отдел сбербанка" и тому подобные используют схожие приемы, но гораздо в более примитивном виде.
2. Точечная обработка клиента. Здесь идет в ход подмена номера клиента - то есть, вашего. В настоящее время при должном опыте можно подменить любой номер и получать СМС на любое устройство. Но это трудоемко и пользуются "по наводке".
3. Мошенники массово скупают номера, бывшие в употреблении и переданные в продажу из-за неактивности более 90 дней. Клиенты банков забывают отключать от банковских услуг старый неиспользуемый номер. Это дает возможность мошенникам не только получить доступ к текущим счетам, но и оформить кредит в тех банках, с которыми вы больше не работаете.

Как видите, наличие мобильного приложения на смартфоне никак не повышают шансы мошенников на взлом наших счетов, равно как и не понижаются шансы при отсутствии оных.
Ваша позиция понятна: потеряв телефон с установленными банковскими приложениями, мошенник завладеет и приложением, и СМС. Но:

• Для входа в телефон нужен код или FaceID
• Для входа в приложение банка нужен другой код или FaceID
• Потеряв телефон, нужно незамедлительно заблокировать не только банковские карты, но и сим-карту.

И только полная наша с вами безотвественность может привести к потере денег при утрате телефона. Поэтому я настаиваю, что наличие мобильного приложения не делает проще доступ к счетам, но при этом вам, как их владельцу, значительно упрощают жизнь: вы в моменте будете знать, если происходят движения по счетам, которых вы не планировали.

Сергей из Москвы

@евгений Кроме этих вариантов есть еще множество способов, направленных конкретно на взлом смартфонов. Из недавно прочитанного в интернете:

Два парня выходят из кабака в приподнятом настроении. К ним подходит миловидная девушка с просьбой дать на время смартфон, так как ее разрядился (или забыла дома), а здесь она договаривалась о встрече со своим парнем и ей нужно срочно связаться с ним через ВКонтакте (или другим способом), главное, что она даже звонить не будет, поэтому деньги точно не спишутся, а мобильный интернет сейчас почти у всех бесплатный. Ну как тут не помочь несчастной девушке, тем более, что вроде и риска никакого, что она может сделать против двух взрослых парней? Ну один из них сжалился, дал ей свой смартфон, она понабирала там что-то пару минут, потом вернула со словами благодарности, дескать ей очень помогли, так как ее парень уже давно ждет совсем в другом месте, и быстро удалилась.

Я надеюсь, что уже все догадались, что на самом деле никакого парня не было, а за эти пару минут она просто скачала с Плэй Маркета вполне официальную программу Teamviewer (ну или что нибудь подобное) и передала своим сообщникам управление этим смартфоном.

И это всего лишь один из частных способов перехвата управления над смартфоном, а таких способов может быть великое множество, как при наличии физического доступа к смартфону, так и дистанционно. Да, конечно, мобильными приложениями удобно пользоваться, но я все таки лучше буду мучаться по-старинке через интернет банк

Vic039

@сергей-из-москвы А как установленный Teamviewer поможет им зайти в приложение банка? Кода то они не знают.
Если только поймать момент, когда владелец сам зайдет, но любым действием параллельно они сразу себя выдадут.
В общем, это все из области безответственности. При соблюдении мало-мальских правил безопасности, приложения не реально взломать.

Сергей из Москвы

@vic039 Все верно - сначала подсмотреть код доступа, а затем через некоторое время самим зайти. При определенной сноровке могут даже и одновременно с владельцем войти и перевести деньги.

Vic039

@сергей-из-москвы Ну, это уже из области фантастики. Тем более, что сейчас смартфонов без биометрической идентификации почти не осталось, коды, при входе в приложения мало кто вводит, по той же биометрии заходят.
В общем, для злоумышленника это должно быть такое стечение обстоятельств, что и заморачиваться никто не будет.

Сергей из Москвы

@vic039 Если бы не заморачивались, то не фиксировали бы более 1000 попыток каждый месяц https://www.group-ib.ru/media/teamviewer/

Alexander

@сергей-из-москвы Ну, без Тимвьювера я жить не хочу. Когда к маме на другой конец Москвы на сутки уезжаю, оттуда работаю на своем компьютере. В отпуске из Испании и Португалии с ним работал через ноутбук подруги, и даже с пляжа через смартфон счет в 1С выписал и отправил клиентам. Часто захожу в домашний компьютер со смартфона, когда в дороге. Я его никогда не выключаю уже 2 года.

Сергей из Москвы

@alexander У меня на всех ПК (рабочих и домашнем) тоже установлен, А вот на смартфон я все таки опасаюсь его ставить.